Elliptic a declarat joi că exploit-ul Drift Protocol de 285 milioane de dolari, cel mai mare din acest an, poartă „multiple indicatori" ai implicării grupului de hackeri DPRK sponsorizat de statul Coreea de Nord.
Firma de cercetare a indicat în mod specific comportamentul onchain, metodologiile de spălare și semnalele la nivel de rețea, toate aliniindu-se cu atacurile anterioare legate de stat.
Drift Protocol, al cărui token a scăzut cu peste 40% la aproximativ 0,06 dolari de la hack, este cel mai mare exchange descentralizat de contracte futures perpetue pe blockchain-ul Solana.
„Dacă este confirmat, acest incident ar reprezenta al optsprezecelea act DPRK pe care Elliptic l-a urmărit în acest an, cu peste 300 de milioane de dolari furați până acum", a declarat raportul.
„Este o continuare a campaniei susținute a DPRK de furt de criptoactive la scară largă, pe care guvernul SUA a legat-o de finanțarea programelor sale de armament. Se crede că actorii legați de DPRK sunt responsabili pentru miliarde de dolari în furturi de criptoactive în ultimii ani", a adăugat Elliptic.
Cu câteva ore mai devreme, datele Arkham au arătat că peste 250 de milioane de dolari au fost mutați de la Drift către un portofel intermediar, apoi către diverse alte adrese.
În decembrie, un raport Chainalysis a dezvăluit că hackerii DPRK au furat un record de 2 miliarde de dolari în crypto în 2025, inclusiv breșa Bybit de 1,4 miliarde de dolari, reprezentând o creștere de 51% față de anul anterior. Departamentul Trezoreriei SUA a declarat luna trecută că Coreea de Nord folosește activele furate pentru a finanța programul de arme de distrugere în masă al țării.
Mai degrabă decât să se concentreze pe exploit-ul în sine, analiza Elliptic evidențiază un model operațional familiar. Activitatea pare „premeditată și atent orchestrată", cu tranzacții de testare timpurii și portofele pre-poziționate care precedă evenimentul principal.
Raportul explică faptul că odată executate, fondurile au fost rapid consolidate și schimbate, transferate între lanțuri și convertite în active mai lichide, reflectând un flux de spălare structurat și repetabil conceput pentru a obscuriza originea menținând în același timp controlul.
O provocare centrală, notează Elliptic, este modelul de cont Solana. Deoarece fiecare activ este deținut într-un cont de token separat, activitatea legată de un singur actor poate părea fragmentată pe mai multe adrese. Fără legarea acestora, investigatorii riscă să vadă „fragmente ale activității atacatorului, nu imaginea completă".
Aici este locul unde raportul Elliptic evidențiază abordarea de grupare, care conectează conturile de token înapoi la o singură entitate, permițând identificarea expunerii indiferent de adresa verificată. Într-un incident care implică mai mult de o duzină de tipuri de active, această perspectivă la nivel de entitate devine critică.
Cazul subliniază de asemenea, adaugă Elliptic în raportul său, cum spălarea a devenit în mod inerent cross-chain. Fondurile s-au mutat de la Solana la Ethereum și dincolo, demonstrând nevoia pentru ceea ce Elliptic a descris ca „capacități holistice de urmărire cross-chain".
Sursă: https://www.coindesk.com/business/2026/04/02/north-koreans-hackers-likely-behind-the-usd286-million-drift-protocol-exploit-elliptic
